Sophos backports RCE fix after attacks on unsupported firewalls
2023/12/12 BleepingComputer — Sophos の脆弱性 CVE-2022-3236 を悪用する攻撃が、積極的に行われていることが発見され、販売が終了している EOL (end-of-life) 製品のファームウェア・バージョン向けにも、セキュリティ・アップデートのバックポートが余儀なくされている。この問題は、Sophos Firewall の User Portal と Webadmin におけるコード・インジェクションの脆弱性に起因するものであり、リモートコード実行にいたる可能性がある。
2022年9月に Sophos は、バージョン 19.0.1 以下のバージョンにおいて、この脆弱性 CVE-2022-3236 を修正し、活発な悪用について警告していた。
Sophos のセキュリティ・アップデートを自動的に取得するように設定されたアプライアンスには、ホットフィックスが自動的に配布されたが、2023年1月の時点において、インターネットに公開されたアプライアンス 4,000台以上に、この脆弱性が残っていた。
これらのアプライアンスの多くは、使用期限切れのファームウェアを実行している古いデバイスであり、緩和策を適用および、手動でのホットフィックス適用などの必要性が生じ、そのギャップがハッカーたちに悪用された。
Sophos のアドバイザリには、「2023年12月に、Sophos Firewall のサポート期限切れの旧バージョンにおいて、この脆弱性に対する新たな攻撃が確認された。そのため、最新の修正プログラムを提供した。このパッチは、ホットフィックス ON にしている組織の、99% に自動的に適用される。今回の攻撃者は、各種のベンダーが提供しているデバイスやファームウェアの EOL を狙っている。したがって、古いデバイスやファームウェアを、最新バージョンにアップグレードすることを強く推奨する」と記されている。
Hotfix の自動更新オプションが無効になっている場合には、それを有効化してから、このガイドに従って Hotfix の適用を確認することを推奨する。または、脆弱性 CVE-2022-3236 に対応する、Sophos Firewall の次のバージョンのいずれかを、手動でアップデートしてほしい:
- v19.0 GA/MR1/MR1-1
- v18.5 GA/MR1/MR1-1/MR2/MR3/MR4
- v18.0 MR3/MR4/MR5/MR6
- v17.5 MR12/MR13/MR14/MR15/MR16/MR17
- v17.0 MR10
- v19.0 GA/MR1/MR1-1
- v18.5 GA/MR1/MR1-1/MR2/MR3/MR4
- v17.0 MR10
これら以前の、さらに古いバージョンの Sophos Firewall を試用している場合には、上記のリリースのいずれかに、アップグレードすることを推奨する。
アップデートが不可能な場合は、手順に従って User Portal と Webadmin への WAN アクセスを制限し、その代わりに VPN または Sophos Central を使用し、リモートアクセスと管理を行うことを推奨する。
Sophos の古い脆弱性 CVE-2022-3236 が、正体不明の脅威アクターに狙われているとのことです。また、その攻撃対象には、EoL デバイスも含まれているようであり、対策の遅れが攻撃を誘発している状況なのかとも思えてきます。なお、この脆弱性 CVE-2022-3236 について、お隣のキュレーション・チームに聞いてみたところ、2022年9月にレポートしており、その時点から CVSS 値は 9.8 だと言っていました。よろしければ、Sophos で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.